Zahájení lnová verze distribuce Linuxu «Bottlerocket 1.3.0» v nichž byly provedeny některé změny a vylepšení v systému MCS přidaná omezení do zásad SELinux jsou zvýrazněna, stejně jako řešení několika problémů s politikou SELinux, podpora IPv6 v kubelet a pluto a také podpora hybridního spouštění pro x86_64.
Pro ty, kteří nevědí lahvová raketa, měli byste vědět, že se jedná o distribuci Linuxu, která byla vyvinuta za účasti Amazonu, aby efektivně a bezpečně provozovala izolované kontejnery. Tato nová verze se vyznačuje tím, že je ve větší míře verze aktualizace balíčku, i když také přichází s několika novými změnami.
Distribuce Je charakterizován poskytováním nedělitelného obrazu systému automaticky a atomicky aktualizováno, které obsahuje linuxové jádro a minimální systémové prostředí, které obsahuje pouze součásti nutné ke spouštění kontejnerů.
O Bottlerocket
Prostředí využívá správce systému systemd, knihovnu Glibc, Buildroot, zavaděč grub, zlý konfigurátor sítě, běhový modul kontejnerd pro izolaci kontejneru platforma Kubernetes, AWS-iam-authenticator a agent Amazon ECS.
Nástroje orchestrace kontejnerů jsou dodávány v samostatném kontejneru pro správu, který je ve výchozím nastavení povolen a spravován prostřednictvím agenta AWS SSM a API. Základní obrázek postrádá příkazový shell, server SSH a interpretované jazyky (Například bez Pythonu nebo Perlu) - Nástroje pro správu a ladicí nástroje jsou přesunuty do samostatného servisního kontejneru, který je ve výchozím nastavení zakázán.
Rozdíl Clave s ohledem na podobné distribuce jako je Fedora CoreOS, CentOS / Red Hat Atomic Host je primárním zaměřením na zajištění maximální bezpečnosti v souvislosti s posilováním systému proti potenciálním hrozbám, což ztěžuje zneužití zranitelností součástí operačního systému a zvyšuje izolaci kontejneru.
Hlavní nové funkce Bottlerocket 1.3.0
V této nové verzi distribuce opravit chyby zabezpečení v sadě nástrojů dockeru a runtime kontejner (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) související s nesprávným nastavením oprávnění, což umožňuje uživatelům bez oprávnění opustit základní adresář a spouštět externí programy.
Na straně změn, které byly implementovány, to můžeme najít Do kubelet a pluto byla přidána podpora IPv6Kromě toho byla poskytnuta možnost restartovat kontejner po změně jeho konfigurace a do eni-max-pods byla přidána podpora pro instance Amazon EC2 M6i.
Také vyniknout nová omezení MCS na zásady SELinux, stejně jako řešení několika problémů se zásadami SELinux, kromě toho, že pro platformu x86_64 je implementován režim hybridního spouštění (s kompatibilitou EFI a BIOS) a v Open-vm-tools přidává podporu pro zařízení založená na filtrech V Cilium Sada nástrojů.
Na druhé straně byla odstraněna kompatibilita s verzí distribuce aws-k8s-1.17 založenou na Kubernetes 1.17, a proto se doporučuje kromě varianty varianty k8s využívající nastavení cgroup runtime.slice a system.slice.
Z dalších změn, které v této nové verzi vynikají:
- Příznak regionu byl přidán do příkazu aws-iam-authenticator
- Restartujte upravené hostitelské kontejnery
- Aktualizován výchozí ovládací kontejner na v0.5.2
- Eni-max-lusky aktualizovány o nové typy instancí
- Přidány nové filtry cilium do nástrojů open-vm
- Zahrnout / var / log / kdumpen logdog tarballs
- Aktualizujte balíčky třetích stran
- Přidána definice vln pro pomalou implementaci
- Přidáno 'infrasys' pro vytvoření TUF infra na AWS
- Archivujte staré migrace
- Změny dokumentace
Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.